Nu puteți garanta că un fișier este cu adevărat o imagine, un videoclip, un PDF sau un fișier text analizând extensiile de fișiere. Pe Windows, atacatorii pot executa un PDF ca și cum ar fi un EXE.
Acest lucru este destul de periculos, deoarece un fișier pe care îl descărcați de pe internet, confundându-l cu un fișier PDF, poate conține de fapt un virus foarte dăunător. Te-ai întrebat vreodată cum fac atacatorii asta?
Virușii troieni explicați
Virușii troieni își derivă numele de la atacul aheilor (greci) în mitologia greacă asupra orașului Troia din Anatolia. Troia este situată în granițele orașului Çanakkale de astăzi. Potrivit narațiunilor, a existat un model de cal de lemn construit de Ulise, unul dintre regii greci, pentru a depăși zidurile orașului Troia. Soldații s-au ascuns în interiorul acestui model și au intrat în secret în oraș. Dacă vă întrebați, o copie a acestui model de cal se găsește încă în Çanakkale, Turcia.
Calul troian a reprezentat cândva o înșelăciune inteligentă și o ispravă ingenioasă a ingineriei. Astăzi, totuși, este privit ca malware digital rău intenționat al cărui singur scop este de a dăuna computerelor țintă nedetectate. Acest virusul se numește troian din cauza conceptului de a fi nedetectat și de a cauza prejudicii.
Troienii pot citi parolele, pot înregistra tastele pe care le apăsați pe tastatură sau pot lua ostatic întregul computer. Sunt destul de mici în acest scop și pot provoca daune grave.
Ce este metoda RLO?
Multe limbi pot fi scrise de la dreapta la stânga, cum ar fi arabă, urdu și persană. Mulți atacatori folosesc această natură a limbajului pentru a lansa diverse atacuri. Un text care este semnificativ și sigur pentru dvs. atunci când îl citiți pornind de la stânga poate fi de fapt scris din dreapta și se referă la un fișier complet diferit. Puteți utiliza metoda RLO care există în sistemul de operare Windows pentru a trata limbile de la dreapta la stânga.
Există un caracter RLO pentru aceasta în Windows. De îndată ce utilizați acest caracter, computerul va începe să citească textul de la dreapta la stânga. Atacatorii care folosesc aceasta au o bună oportunitate de a ascunde numele și extensiile de fișiere executabile.
De exemplu, să presupunem că tastați un cuvânt englezesc de la stânga la dreapta și acel cuvânt este Software. Dacă adăugați caracterul Windows RLO după litera T, orice introduceți după aceea va fi citit de la dreapta la stânga. Ca rezultat, noul tău cuvânt va fi Softeraw.
Pentru a înțelege mai bine acest lucru, consultați diagrama de mai jos.
Poate fi introdus un troian într-un PDF?
În unele atacuri rău intenționate PDF, este posibil să introduceți exploit-uri sau scripturi rău intenționate în interiorul PDF-ului. Multe instrumente și programe diferite pot face acest lucru. Mai mult, este posibil să faceți acest lucru prin schimbarea codurilor existente ale PDF-ului fără a utiliza niciun program.
Cu toate acestea, metoda RLO este diferită. Cu metoda RLO, atacatorii prezintă un EXE existent ca și cum ar fi un PDF pentru a păcăli utilizatorul țintă. Deci doar imaginea EXE se schimbă. Utilizatorul țintă, pe de altă parte, deschide acest fișier crezând că este un PDF inocent.
Cum să utilizați metoda RLO
Înainte de a explica cum să afișați un EXE ca PDF cu metoda RLO, examinați imaginea de mai jos. Care dintre aceste fișiere este PDF?
Nu puteți determina acest lucru dintr-o privire. În schimb, Y= trebuie să te uiți la conținutul fișierului. Dar, în cazul în care vă întrebați, fișierul din stânga este PDF-ul real.
Acest truc este destul de ușor de făcut. Atacatorii scriu mai întâi cod rău intenționat și îl compilează. Codul compilat oferă o ieșire în format exe. Atacatorii schimbă numele și pictograma acestui EXE și îi transformă aspectul într-un PDF. Deci, cum funcționează procesul de denumire?
Aici intervine RLO. De exemplu, să presupunem că aveți un EXE numit iamsafefdp.exe. În această etapă, atacatorul va pune un caracter RLO între sunt în siguranță și fdp.exe la redenumiți fișierul. Este destul de ușor să faci asta în Windows. Doar faceți clic dreapta în timp ce redenumiți.
Tot ce trebuie să înțelegeți aici este că, după ce Windows vede caracterul RLO, acesta citește de la dreapta la stânga. Fișierul este încă un EXE. Nimic nu a fost schimbat. Arată doar ca un PDF în aparență.
După această etapă, atacatorul va înlocui acum pictograma EXE cu o pictogramă PDF și va trimite acest fișier persoanei țintă.
Imaginea de mai jos este răspunsul la întrebarea noastră anterioară. EXE pe care îl vedeți în dreapta a fost creat folosind metoda RLO. În aparență, ambele fișiere sunt aceleași, dar conținutul lor este complet diferit.
Cum te poți proteja de acest tip de atac?
Ca și în cazul multor probleme de securitate, există mai multe măsuri de precauție pe care le puteți lua cu această problemă de securitate. Prima este să utilizați opțiunea de redenumire pentru a verifica fișierul pe care doriți să-l deschideți. Dacă alegeți opțiunea de redenumire, sistemul de operare Windows va selecta automat zona din afara extensiei fișierului. Deci partea neselectată va fi extensia reală a fișierului. Dacă vedeți formatul EXE în partea neselectată, nu ar trebui să deschideți acest fișier.
De asemenea, puteți verifica dacă un caracter ascuns a fost inserat folosind linia de comandă. Pentru asta, pur și simplu folosește dir comanda după cum urmează.
După cum puteți vedea în captura de ecran de mai sus, există ceva ciudat în numele fișierului numit util. Acest lucru indică faptul că există ceva despre care ar trebui să fii suspicios.
Luați măsuri înainte de a descărca un fișier
După cum puteți vedea, chiar și un simplu fișier PDF poate face dispozitivul dvs. să cadă sub controlul atacatorilor. De aceea nu ar trebui să descărcați fiecare fișier pe care îl vedeți pe internet. Indiferent cât de siguri credeți că sunt, gândiți-vă întotdeauna de două ori.
Înainte de a descărca un fișier, există mai multe măsuri de precauție pe care le puteți lua. În primul rând, ar trebui să vă asigurați că site-ul de pe care descărcați este de încredere. Puteți verifica fișierul pe care îl veți descărca ulterior online. Dacă ești sigur de tot, depinde în totalitate de tine să iei această decizie.
